매핑 구성 및 시각적 계열 할당

다음에서 지원:

이벤트 구성 기능을 사용하면 이벤트에 시각적 패밀리를 할당하여 다른 작업과의 관계를 그래픽으로 시각화할 수 있습니다. 이 프로세스를 통해 이벤트가 올바르게 분류되고 정확하고 완전한 정보가 포함됩니다.

이벤트 구성에는 다음과 같은 기능이 포함됩니다.

  • 시각화: 이벤트에 계열을 할당합니다. 이 패밀리는 관계와 항목의 시각적 지도로 작동하여 발생한 상황을 가장 잘 설명하는 그래픽을 제공합니다. 할당된 가족이 케이스 탐색 화면에 표시됩니다.
  • 매핑: 오류를 수정하거나 누락된 데이터를 입력하기 위해 특정 필드 정보를 수정하거나 추가합니다.

이벤트 구성 페이지에 액세스

이벤트 구성 페이지에 액세스하려면 다음 중 하나를 수행하세요.

  • 케이스 대기열에서 케이스를 선택하고 알림 이벤트 탭으로 이동한 후 설정 구성을 클릭합니다.
  • 설정 > 온톨로지 > 온톨로지 상태에서 settings 구성을 클릭합니다.

모델 패밀리 할당

모델 패밀리는 발생하는 모든 이벤트와 작업 간의 관계를 그래픽으로 시각화합니다.

시각화 페이지에서 이벤트, 제품 또는 소스를 특정 가족에 할당합니다. 이 시각적 요소는 탐색 페이지에 표시됩니다.

다음 세 가지 수준에서 모델 패밀리를 할당할 수 있습니다.

  • 소스 수준: 최상위 수준입니다. 여기에 할당된 가족은 해당 소스 내의 모든 제품과 이벤트에 상속됩니다.
  • 제품 수준: 두 번째 수준입니다. 여기에 할당된 가족은 해당 제품 내의 모든 이벤트에 상속됩니다.
  • 이벤트 수준: 지상 수준입니다.

모델 계열은 상위에서 상속됩니다. 소스 수준에서 가족을 할당하면 제품과 이벤트가 소스 수준에서 모델 가족을 상속합니다. 각 수준에서 매핑된 필드를 수정하여 상위 설정을 재정의할 수 있습니다.

Google Security Operations는 24개의 표준 모델 패밀리를 제공하며 필요에 따라 더 많은 모델을 만들 수 있습니다. 자세한 내용은 시각적 패밀리와 보안 이벤트 관계 매핑을 참고하세요.

모델 패밀리를 할당하려면 다음 단계를 따르세요.

  1. 이벤트 구성 페이지에서 시각화를 클릭합니다.
  2. 이 상황에서 발생하는 이벤트와 작업 간의 관계와 가장 유사한 모델 계열을 선택합니다.
  3. 확인 대화상자에서 를 클릭하여 할당을 확인합니다.

이벤트의 특정 필드 관리

매핑 페이지에서는 이벤트의 특정 필드 정보를 관리합니다. 할당된 모델 계열에 속하는 필드가 표시됩니다.

예를 들어 이벤트가 수집되었는데 누락되거나 잘못된 정보가 표시되는 경우 다음 단계를 따르세요.

  1. 알림 이벤트 탭에서 설정 구성을 클릭하고 올바른 시각적 가족에 할당되어 있는지 확인합니다.
  2. 매핑 페이지로 이동하여 특정 필드 정보를 수정하거나 추가합니다.

이러한 필드에 대해 다양한 작업을 수행할 수 있습니다.

  • 각 행 끝에 있는 more_vert 더보기를 클릭합니다.
  • edit Edit FIeld를 클릭합니다.
  • 타겟 필드 매핑 대화상자에서 추출할 이벤트 필드의 이름을 입력하고 저장을 클릭합니다.

수정 가능한 필드

엔티티를 더블클릭하여 다음 필드를 수정합니다.

필드 설명
추출된 필드 정보를 가져올 원시 이벤트 필드의 기본 필드 이름입니다. 전문가 팁: Contains 또는 Starts with를 사용하여 데이터를 별도의 항목으로 나눕니다. 이는 url_1url_2과 같은 여러 필드를 사용하여 여러 항목을 만드는 데 유용합니다.
대체 필드 1 기본 필드를 찾을 수 없는 경우 정보를 가져올 원시 이벤트 필드의 대체 필드입니다.
대체 필드 2 기본 및 보조가 모두 없는 경우 정보를 가져올 원시 이벤트 필드의 대체 필드입니다.
추출 함수 다음 세 가지 옵션을 포함하여 원시 이벤트 필드에서 데이터를 추출하거나 조작합니다.
  • 없음: 원시 데이터가 그대로 표시됩니다.
  • 구분자: 구분자를 문자 (최대 64자)로 정의하여 데이터를 별도의 항목으로 나눌 수 있습니다. 기본값은 Delimiter = , (쉼표)입니다.
  • 정규 표현식: 정규 표현식을 사용하여 데이터를 별도의 항목으로 나눕니다.
변환 함수 데이터 소스의 정보를 데이터베이스와 호환되도록 변환합니다. 사용 가능한 함수는 다음과 같습니다.
  • TO_STRING
  • FROM_UNIXTIME_STRING_OR_LONG
  • FROM_CUSTOM_DATETIME
  • EXTRACT_BY_REGEX
  • TO_IP_ADDRESS

함수를 선택한 후 적절한 매개변수를 추가합니다.
예를 들어 FROM_CUSTOM_DATETIME를 선택하고 날짜와 시간을 %Y-%m-%DT%H:%M:%S로 다시 포맷합니다.

하나의 소스 필드에서 데이터를 추출하여 여러 대상 필드에 매핑할 수 있습니다. 예를 들어 소스 필드에 호스트 이름과 IP 주소가 모두 있는 경우 정규식을 사용하여 이를 분리할 수 있습니다.

매핑 후 결과 표시

매핑 프로세스 후 값을 보려면 more_vert 더보기 > 결과 표시를 클릭합니다.

보강 데이터 추가

다양한 SIEM에는 초기 수집 프로세스의 일부로 보강 데이터가 포함됩니다. 강화 데이터를 추가하려면 다음 단계를 따르세요.

  1. more_vert 더보기 > database_upload 풍부한 정보 추가를 선택합니다.
  2. 항목에 추가할 풍부한 정보를 선택합니다.
  3. 저장을 클릭합니다. 다음에 이 항목이 알림의 일부로 플랫폼에 인그레스되면 세부정보 보기를 클릭하고 이 보강 필드가 측면 드로어의 원시 보강 제목 아래에 표시됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.